Согласно постановлению правительства от 13 июня 2012 г. №584 "Об утверждении Положения о защите информации в платежной системе", операторы и агенты должны обеспечивать защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения через принятие правовых, организационных и технических мер, а также обеспечивать конфиденциальность данных и реализовывать право на доступ к информации в соответствии с законодательством РФ.
В компаниях платежных операторов должны быть структурные подразделения по защите информации (службы информационной безопасности) или ответственный за организацию защиты информации работник. Участвующие в обработке информации сотрудники обязаны выполнять требования к защите информации. Также операторам необходимо проводить мероприятия для определения угроз безопасности данных и уязвимостей информационных систем и анализировать риски нарушения требований к защите информации.
Кроме того, правила платежной системы должны предусматривать применение средств защиты информации, таких как шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля защищенности. Операторы должны выявлять инциденты, связанные с нарушением требований к защите информации, и реагировать на них, обеспечивать защиту информации при использовании информационно-телекоммуникационных сетей общего пользования и определять порядок доступа к объектам инфраструктуры платежной системы, обрабатывающим информацию. Контроль и оценка выполнения этих требований на собственных объектах инфраструктуры должны будут проводиться не реже, чем раз в два года.
Требования к защите информации будут реализовываться на всех этапах создания и эксплуатации информационных систем.
Председатель совета "Ассоциации Электронные деньги" Виктор Достов считает тенденцию на введение общих стандартов и подходов к обеспечению информационной безопасности в расчетах верной. "При этом разумным на данном этапе является достаточно рамочный подход, содержащий общие положения и рекомендации с последующей детализацией там, где это нужно, - пояснил он репортеру ComNews. - Такая постепенность позволит как получить обратную связь от рынка, так и даст возможность участникам эффективно воплотить эти меры".
Представители платежных компаний соглашаются с необходимостью совершенствования законодательства о защите данных. Пресс-служба "Платежного мира Ruru" сообщила, что, хотя эта компания является агрегатором и формально не попадает под данное постановление, ее специалисты активно изучают все документы, относящиеся к данному вопросу. "Информационная безопасность является одной наших из приоритетных задач, и мы постоянно совершенствуем систему ИБ и процессы управления в этой сфере с учетом требований законодательства", – говорит представитель Ruru.
В группе QIWI вопросы информационной безопасности тоже являются одним из главных приоритетов, заверяет ее пресс-служба. "В группе Qiwi есть специализированная cлужба информационной безопасности, осуществляющая целый перечень мер, направленных как на внешнюю, так и на внутреннюю защиту, - сообщила пресс-служба компании. - Политика безопасности неукоснительно соблюдается каждым сотрудником".
Юнна Коцар